永續 (Sustainability) 已是目前全世界所關注的重要議題,主要目的是要藉由環境保護、社會共榮和經濟成長三個面向的均衡發展,透過組織自主建立對應各項議題的指標,以達成聯合國所發布的永續發展目標 (Sustainable Development Goals,SDG)。以台灣而言,金管會要求實收資本額達20億元以上的上市櫃公司,每年都要編製和公開申報永續報告書 (ESG Report),這已成為企業的經營管理階層需要負起的重要責任。基本上,組織在編寫永續報告書的時候,不能只是單純任意書寫的作文比賽,而是必須按照特定的議題內容來進行,目前受到國際所認可的準則規範,像是GRI、SASB、DJSI等,都是可以參考的內容,所以組織就要依照準則中的架構和主題,產出符合公司實施現況與可公開揭露的內容 。 目前在永續報告書中最重要的三個指標,分別是環境 (Environment)、社會責任 (Social) 和治理 (Governance),也就是所謂的「ESG」,個人觀察大多數組織比較重視的議題,主要著重在環境相關的溫室氣體、污水處理、降低塑膠生產和使用、生態多樣性、節約能源,以及社會責任相關的勞資權益、人權和職業安全風險等。 在實務方面,組織通常會利用 ISO 標準所建立的管理體系 (Management System),例如:ISO 14001 (環境管理)、ISO 50001 (能源管理)、ISO 14064 (溫室氣體盤查)、ISO 14067 (碳足跡) 等,用來產生具備可信度的佐證資料,進而填補永續報告書中各項主題的揭露要求。 但是隨著資訊科技的快速發展,資安、隱私和AI應用,也成為了組織在實現永續過程中的重大議題。最近我在講授ISO 42001 (AIMS) 的課程時,就有參與課程的學員提到,目前已被公司的永續發展委員會要求,需要提供在資安、隱私與 AI 上的實施成果,以便在永續報告書中揭露,但是他們卻不知該從何處著手,也不清楚有哪些資安、隱私和AI相關標準可以用來滿足準則的要求,所以我彙整了以下的資訊,可作為相關人員在面對永續議題時的參考。
GRI 準則 (Global Reporting Initiative)
# GRI 418:客戶隱私 (Customer Privacy)
要求內容:
- 揭露經證實的侵犯客戶隱私及遺失客戶資料的投訴總數(來自監管機構或外部第三方)。
- 若發生重大洩漏事件,需要說明其過程和處理結果。
如何運用標準滿足要求:
- ISO/IEC 27701 (隱私資訊管理系統):透過此標準建立的「隱私影響評估 (DPIA)」與「當事人權利處理流程」,能夠確保企業可以系統化記錄與追蹤所有投訴,直接提供 GRI 418 所需要的量化數據。
- ISO/IEC 27018 (公有雲隱私保護):如果涉及提供公有雲的雲端服務,此標準可證明對個人可識別資訊 (PII) 的處理符合國際規範,降低 GRI 揭露中出現「違規事件」的風險。
SASB 準則:財務重大性與產業核心風險
SASB在社會資本 (Social Capital) 面向下,關注資安與隱私對企業財務表現的直接影響,針對不同產業有不同指標。
要求內容:
- 資訊安全:發生資訊洩漏的次數、受影響的用戶比例,以及如何透過技術手段降低風險。
- 客戶隱私:收集個人資訊的商業目的、如何因應法規的個資保護要求。
如何運用標準滿足要求:
- ISO/IEC 27001 (資安管理系統):透過管理體系和附錄 A 的控制措施,可描述如何利用自動化工具監測威脅,並落實縱深防禦,揭露對供應商進行資安稽核的頻率與合格率。另外,可描述達成營運持續演練 (BCP) 和災難復原演練 (DRP) 的結果,展現在遭受攻擊時的恢復能力。
- ISO/IEC 27017 (雲端服務資安):針對 SASB 中關於基礎設施可靠性的要求,此標準能證明企業對雲端服務特定風險,例如: 虛擬機隔離、共享責任模型等已有妥善管理機制。
DJSI(道瓊永續指數)評選
在 2026 年的 DJSI(道瓊永續指數)評選中,原DJSI已正式更名為「道瓊領先指數(Dow Jones Best-in-Class Indices, DJBIC)」,其採用的企業永續評鑑 (CSA) 已將資訊安全、個資隱私與人工智慧(AI)治理,從單純的「技術合規」提升至「財務重大性」與「數位人權」的高度。
# 資訊安全 (Information Security)
要求內容:
- 政策覆蓋範圍:資安政策必須涵蓋全體員工、約聘人員及第三方供應商。
- 董事會監督:需明確揭露董事會中具備資安背景的人員,以及資安長 (CISO) 向董事會報告的頻率。
- 事件揭露與重大性分析:要求公開重大資安事件的數量、受影響比例,以及該事件對財務的具體影響。
如何運用標準滿足要求:
- ISO/IEC 27001 (資安管理系統):
- 滿足政策要求:利用 5.2 (政策) 與 Annex A 5.1 (資安政策) 確保政策的完整性。
- 滿足供應鏈要求:利用 Annex A 5.19 (供應者關係) 建立評核機制。
- NIST CSF 2.0 (網路安全框架):
- 滿足治理要求:運用其中的「Governance (GV)」功能,定義組織內部資安策略與風險溝通流程,這與 DJSI 要求董事會參與資安治理的核心目標有關。
# 隱私保護 (Privacy Protection)
2026 年的重點在於「透明度」與「資料生命週期管理」,特別是在涉及敏感性 AI 訓練數據時。
要求內容:
- 資料最小化與保留限制:需證明企業有明確的資料銷毀機制。
- 當事人權利請求 (DSR):要求揭露企業處理用戶撤回同意、要求刪除資料的成功率。
- 第三方隱私稽核:必須對涉及個人資料處理的外部供應者進行獨立查核。
如何運用標準滿足要求:
- ISO/IEC 27701 (隱私資訊管理系統):
- 滿足資料生命週期:定義 PII(個人可識別資訊)從收集到銷毀的標準作業程序。
- 滿足當事人權利請求:實施標準條文中的「當事人權利處理機制」,提供可量化的處理數據。
- ISO/IEC 29100 (隱私框架):
- 滿足隱私設計要求:提供「隱私設計 (Privacy by Design)」和「隱私預設 (Privacy by Default)」的基本隱私要求。
# 負責任的 AI (Responsible AI) - 2026 年新亮點
這是 2026 年 DJBIC 變動最大的部分,主要加入了以下兩個問項。
Q. 公司是否有負責任的人工智慧政策,並且該政策是否公開?
Q. 公司是否有負責任的人工智慧專案?
要求內容:
- AI 政策與倫理:尊重人工智慧使用和開發過程中的資料隱私,需要建立「人為干預機制 (HITL)」及「問責機制」。
- AI 量化指標 (2026 新增):要求揭露 AI 的投資額 (Investments)、所帶來的營收增長及 ROI評估。
- 生態足跡 (Ecological Footprint):要求揭露 AI 模型訓練與數據中心的能耗、水耗及減碳措施。
- AI 生成標記:所有 AI 產出的內容必須有清晰的標記 (防止誤導)。
如何運用標準滿足要求:
- ISO/IEC 42001 (AI 管理體系):
- 滿足AI治理框架:建立 AI 系統的風險評鑑流程與AI系統影響評鑑,這能直接對應負責任的AI要求。
- 滿足 HITL 要求:清楚定義 AI 決策中人類介入的權限和方式。
- NIST AI RMF (AI 風險管理框架):
- 滿足負責任的 AI:利用其「可信賴 AI」的七大指標 (公平、可解釋、安全等) 來管理AI相關的風險,並將結果作為 ESG 報告的證據。
備註:以上準則為透過AI蒐集,再由個人進行手動編輯後的資訊,僅供參考。
.png)